Přidání nebo úprava pravidla brány firewall

Pomocí Průvodce konfigurací zabezpečení lze vytvářet pravidla brány firewall, které dovolí tomuto počítači odesílat nebo přijímat přenosy od programů, systémových služeb, počítačů nebo uživatelů. Pravidla brány firewall lze vytvořit tak, aby provedla jednu ze tří akcí pro všechna připojení, která splňují kritéria daného pravidla: povolit připojení, povolit jen připojení, které je zabezpečeno pomocí protokolu IPsec, nebo dané připojení explicitně zablokovat.

Důležité informace

Pravidla brány firewall povolují přenos přes bránu firewall, ale nezajišťují zabezpečení tohoto přenosu. Pokud chcete zabezpečit přenos protokolem IPsec, můžete vytvořit pravidla pro zabezpečení připojení. Vytvoření pravidla pro zabezpečení připojení však nepovolí přenos přes bránu firewall. Z tohoto důvodu musíte vytvořit pravidlo pro bránu firewall, pokud přenos není povolen zásluhou chování brány firewall ve výchozím nastavení. Pravidla zabezpečení připojení se nepoužívají u programů ani služeb. Uplatňují se mezi dvěma počítači. K vytvoření pravidla zabezpečení připojení je třeba použít modul snap-in brány Windows Firewall s pokročilým zabezpečením (FW.msc).

Karta Obecné

Pravidla lze vytvářet buď pro příchozí přenosy, nebo pro odchozí přenosy. Pravidlo je možné nakonfigurovat pro zadání programu, služby protokolu nebo portu. Na základě změn ve daném prostředí IT je možné pravidla měnit, vytvářet nebo odstraňovat.

Pravidla brány firewall se uplatňují s následujícím pořadím priority:

  • Ověřené přemostění (pravidla přepisující blokovací pravidla)

  • Blokovat připojení

  • Povolit připojení

Příchozí pravidla

Pravidla příchozí komunikace explicitně povolí nebo explicitně zablokují přenos, který se snaží získat přístup k počítači a odpovídá kritériím daného pravidla. Můžete například nakonfigurovat pravidlo, které explicitně povolí přenos zabezpečený protokolem IPsec pro vzdálenou plochu prostřednictvím brány firewall, ale tentýž přenos zablokuje, pokud nebude zabezpečen protokolem IPsec. Při první instalaci systému Windows je příchozí připojení blokováno. Pokud chcete připojení povolit, musíte vytvořit pravidlo pro příchozí připojení.

Odchozí pravidla

Pravidla odchozí komunikace explicitně povolí nebo explicitně zablokují přenos pocházející z počítače, který splňuje kritéria obsažená v daném pravidle. Lze například nakonfigurovat pravidlo pro explicitní blokování odchozího přenosu do určitého počítače přes bránu firewall, ale stejný přenos povolit do jiných počítačů. Odchozí přenos je ve výchozím nastavení povolen, takže musíte vytvořit odchozí pravidlo pro blokování přenosu.

Karta Programy a služby

Protože brána Windows Firewall s pokročilým zabezpečením blokuje ve výchozím nastavení všechny nevyžádané příchozí přenosy TCP/IP, bude pravděpodobně třeba nakonfigurovat program, port a pravidla systémových služeb pro programy nebo služby, které fungují jako servery, nástroje pro sledování nebo rovnocenné počítače. Program, port a pravidla systémových služeb je nutné spravovat průběžně podle toho, jak se role serveru nebo konfigurace mění.

Důležité informace

Nastavení pravidla brány firewall zvyšuje stupeň omezení těm kritériím, jejichž požadavky na připojení se shodují s daným pravidlem. Pokud například nezadáte program nebo službu na kartě Programy a služby, budou povoleny všechny programy a služby, pokud splňují ostatní kritéria. Přidáváním podrobnějších kritérií bude tedy pravidlo postupně restriktivnější a tím bude jeho splnění méně pravděpodobné.

Pokud chcete do seznamu pravidel přidat nějaký program, musíte zadat celou cestu ke spustitelnému souboru typu EXE, který tento program používá. Systémová služba, která běží v rámci svého vlastního jedinečného souboru typu EXE a nehostuje v kontejneru služeb, se považuje za program a lze ji přidat do seznamu pravidel. Stejně tak se program, který funguje jako systémová služba a běží v počítači bez ohledu na to, zda je nebo není uživatel přihlášen, považuje za program, pokud je spouštěn svým jedinečným souborem typu EXE.

Upozornění

Přidání programů poskytujících služby, jako je Svchost.exe, Dllhost.exe a Inetinfo.exe, do seznamu pravidel bez dalších omezení daného pravidla by mohlo počítač vystavit bezpečnostním hrozbám. Také přidání těchto programů by mohlo způsobit konflikt s jinými zásadami na posílení služeb v počítačích, kde je spuštěna tato verze systému Windows Server 2008 R2 nebo Windows Server 2008.

Když přidáte program do seznamu pravidel, brána Windows Firewall s pokročilým zabezpečením dynamicky otevře (odblokuje) a uzavře (zablokuje) porty, které daný program požaduje. Jakmile daný program běží a sleduje příchozí přenos, brána Windows Firewall s pokročilým zabezpečením otevře požadované porty. Pokud daný program neběží nebo nesleduje příchozí přenos, brána Windows Firewall s pokročilým zabezpečením tyto porty uzavře. Zásluhou tohoto dynamického chování se metoda přidávání programů do seznamu pravidel doporučuje pro povolení nevyžádaného příchozího přenosu přes bránu Windows Firewall s pokročilým zabezpečením.

Poznámka

Programová pravidla pro povolení nevyžádaného příchozího přenosu přes bránu Windows Firewall s pokročilým zabezpečením lze použít jen tehdy, pokud daný program používá pro přiřazení portů nástroj Windows Sockets (Winsock). Pokud program nepoužívá pro přiřazení portů nástroj Winsock, musíte určit, které porty tento program použije, a přidat tyto porty do seznamu pravidel.

Karta Protokoly a porty

Jestliže v některých případech nemůžete do seznamu pravidel přidat program nebo systémovou službu, musíte určit port nebo porty, které program nebo systémová služba používá, a potom tento port nebo porty přidáte do seznamu pravidel brány Windows Firewall s pokročilým zabezpečením.

Na kartě Protokoly a porty můžete provést výběr ze seznamu nejběžněji používaných protokolů a jejich přidružených čísel protokolů. Pokud není požadovaný protokol uveden v seznamu, můžete vybrat položku Vlastní a zadat číslo protokolu.

Vyberete-li protokol TCP nebo UDP, můžete poté zadat místní a vzdálené porty, pro které má pravidlo platit. Pokud do seznamu pravidel přidáváte port TCP nebo UDP, daný port se otevře (odblokuje) kdykoli, když je spuštěna brána Windows Firewall s pokročilým zabezpečením bez ohledu na to, zda program nebo systémová služba sleduje příchozí přenos na tomto portu. Když tedy potřebujete povolit nevyžádaný příchozí přenos přes bránu Windows Firewall s pokročilým zabezpečením, měli byste místo pravidla pro port vytvořit pravidlo pro program.

Karta Obor

Pomocí karty Obor můžete určit adresu IP, podsíť nebo rozsah adres IP. Můžete použít adresy IPv4 i IPv6.

Místní IP adresy

V části Místní IP adresy můžete nakonfigurovat pravidlo brány firewall, které bude použito, pokud je cílový počítač místní počítač. Dále můžete použití pravidla pro místní počítač určit zadáním IP adresy nebo rozsahu IP adres, který pravidlo použije u počítačů umístěných v konkrétní větvi dané sítě.

Vzdálené IP adresy

V části Vzdálené IP adresy můžete nakonfigurovat pravidlo brány firewall, které bude použito, pokud je cílový počítač vzdálený počítač. Dále můžete použití pravidla pro vzdálené počítače určit zadáním IP adresy nebo rozsahu IP adres, který pravidlo použije u počítačů umístěných v konkrétní větvi dané sítě.

Zadávání adres IP

  • IPv4. Pokud daná síť používá adresování IPv4, můžete zadat jedinou adresu IP, například 172.30.160.169, nebo podsíť, například 146.53.0.0/24.

  • IPv6. Pokud daná síť používá adresování IPv6, můžete zadat jedinou adresu IP jako osm sad čtyř šestnáctkových číslic oddělených dvojtečkami (nebo v ekvivalentním povoleném formátu) nebo jako podsíť.

  • Chcete-li zadat rozsah adres u obou formátů stačí zadat první (Od) a poslední (Do) adresu IP zahrnutou v pravidle.

Další informace